AI in de Nederlandse zorg: kansen, risico's en AVG-compliance

AI mag in de Nederlandse zorg worden ingezet — maar alleen onder strenge voorwaarden. Patiëntgegevens zijn bijzondere persoonsgegevens onder de AVG, en veel AI-systemen in de zorg vallen onder de EU AI Act als hoog-risico. Weet je wat wel en niet mag, dan kun je AI veilig en effectief inzetten voor jouw zorgorganisatie.

Welke zorgtaken AI al betrouwbaar ondersteunt in 2026

In 2026 ondersteunen AI-tools een breed scala aan zorgtaken — van administratie tot klinische besluitvorming. De technologie is het meest betrouwbaar bij taken die veel herhalend werk vragen en waarbij het risico bij onjuiste uitvoer beheersbaar is.

Administratieve taken zijn het veiligst om te automatiseren:

• Automatisch aanvullen van dossiers op basis van gespreksnotities
• Verwerking van verwijsbrieven en correspondentie
• Roostering en capaciteitsplanning

Ondersteunende klinische taken zijn mogelijk, maar vragen meer zorgvuldigheid:

• Triagesystemen die urgentie inschatten en patiënten verwijzen
• AI-ondersteunde beelddiagnostiek (röntgen, MRI) — altijd met arts als eindverantwoordelijke
• Voorspellende modellen voor heropname of medicatierisico's

De rode lijn: AI ondersteunt, de zorgverlener beslist. Dit is niet alleen ethisch verstandig — het is wettelijk vereist.

AVG en medische data: wat mag en wat mag absoluut niet

Patiëntgegevens zijn bijzondere persoonsgegevens onder de AVG. Ze genieten extra bescherming — en dat heeft directe gevolgen voor hoe je AI mag inzetten.

Wat mag:

• AI verwerkt patiëntgegevens met een geldige rechtsgrond: toestemming van de patiënt, of een wettelijke verplichting
• Verwerking voor directe zorgverlening: dossiervorming, communicatie met verwijzers, afsprakenbeheer
• Verwerking voor kwaliteitsverbetering en wetenschappelijk onderzoek — mits geanonimiseerd of met expliciete toestemming

Wat absoluut niet mag:

• Patiëntgegevens delen met AI-leveranciers buiten de EER zonder geldige overdrachtsmechanismen
• Beslissingen over patiëntenzorg volledig automatisch laten nemen door AI (geen menselijk toezicht)
• Gegevens gebruiken voor AI-training zonder expliciete toestemming of geldige rechtsgrond

Praktische verplichting: Bij elk AI-project dat patiëntgegevens verwerkt met een verhoogd privacyrisico, is een Data Protection Impact Assessment (DPIA) verplicht. Dit geldt voor vrijwel alle klinische AI-toepassingen. Datalekken moet je binnen 72 uur melden bij zowel de IGJ als de Autoriteit Persoonsgegevens.

EU AI Act: risicoklassen voor zorgtoepassingen

Sinds augustus 2026 zijn de kernbepalingen van de EU AI Act van kracht. De wet verdeelt AI-systemen in vier risicoklassen:

Concreet voor zorgorganisaties: Als je AI gebruikt voor diagnose, triagering of het bewaken van vitale functies, val je vrijwel zeker onder hoog risico. Dat betekent:

• Een risicobeheerssysteem opzetten en documenteren
• Technische documentatie bijhouden over het AI-systeem
• Het systeem registreren in de EU AI-database
• Menselijk toezicht aantoonbaar borgen in processen en procedures

De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) zijn de toezichthouders in Nederland.

Praktijkvoorbeelden: digitale intake, administratie, rapportage en triagering

Hoe ziet AVG-conforme AI-inzet er in de praktijk uit? Vier concrete voorbeelden:

1. Digitale intake

Een huisartsenpraktijk implementeert een AI-chatbot die patiënten helpt met het invullen van hun klachten vóór het consult. De chatbot slaat zelf geen medische gegevens op — informatie gaat direct naar het HIS van de arts. De patiënt geeft vooraf toestemming en weet dat hij met AI communiceert. Tijdwinst: gemiddeld 8 minuten per consult.

2. Administratie en dossiervorming

Een thuiszorgorganisatie gebruikt een AI-tool die na elk bezoek automatisch een rapportage opstelt op basis van gesproken notities van de medewerker. De medewerker controleert en keurt goed vóór opslag. De leverancier heeft geen toegang tot patiëntgegevens — verwerking vindt lokaal plaats of via een verwerkersovereenkomst.

3. Rapportage voor verwijzers

Een revalidatiecentrum zet AI in om gestandaardiseerde voortgangsrapportages op te stellen voor verwijzende specialisten. De AI werkt met sjablonen; pas na controle door de behandelaar worden persoonsgegevens toegevoegd aan het eindrapport.

4. Triagering

Een ambulancedienst test een AI-systeem dat inkomende meldingen classificeert op urgentie. Het systeem doet een aanbeveling — de centralist beslist altijd. Classificatie: hoog-risico AI Act. Vereist: volledige technische documentatie en periodieke audit.

Hoe je een AVG-proof AI-pilot opzet in de zorg

Een AI-pilot in de zorg loopt in vijf stappen:

Stap 1: Bepaal de risicoklasse

Gaat het om klinische ondersteuning? Dan is het vrijwel zeker hoog risico. Gaat het om pure administratie? Mogelijk beperkt of minimaal risico. Dit bepaalt welke verplichtingen gelden.

Stap 2: Voer een DPIA uit

Breng in kaart welke persoonsgegevens worden verwerkt, wat de risico's zijn en welke maatregelen je neemt. Leg dit vast vóór de pilot start.

Stap 3: Sluit een verwerkersovereenkomst

Met elke AI-leverancier die patiëntgegevens verwerkt, sluit je een verwerkersovereenkomst af. Zorg dat gegevens niet buiten de EER worden opgeslagen of verwerkt zonder geldige overdrachtsgrond.

Stap 4: Zorg voor aantoonbaar menselijk toezicht

Documenteer wie eindverantwoordelijk is voor AI-ondersteunde beslissingen. Dit moet altijd een bevoegde zorgverlener zijn — niet het systeem.

Stap 5: Monitor en documenteer continu

Houd een logboek bij van AI-beslissingen, afwijkingen en incidenten. Dit is verplicht voor hoog-risico AI en onmisbaar bij een inspectie door IGJ of AP.

Unify AI's aanpak voor zorgorganisaties

Bij Unify AI helpen we zorgorganisaties om AI verantwoord en effectief in te zetten — zonder te verdwalen in juridische complexiteit. We starten altijd met een risicoanalyse: welke taken lenen zich voor automatisering, wat zijn de compliance-verplichtingen, en waar zit de meeste winst?

Vervolgens implementeren we stap voor stap: klein beginnen, meten, bijsturen. Geen grote IT-trajecten, maar werkende pilots die bewezen resultaat opleveren. Onze klanten in de zorg besparen gemiddeld 4 tot 6 uur per medewerker per week op administratief werk — met behoud van volledige compliance.

Wil je weten welke AI-toepassingen haalbaar zijn voor jouw zorgorganisatie? Neem contact op voor een vrijblijvend gesprek.

Veelgestelde vragen

Welke AI-toepassingen zijn wettelijk toegestaan in de Nederlandse zorg?

AI is toegestaan mits je voldoet aan de AVG, de EU AI Act en — voor medische hulpmiddelen — de MDR. Administratieve AI (dossiervorming, roostering, rapportage) kent de minste verplichtingen. Klinische AI (diagnose, triagering) is bijna altijd hoog risico en vereist een DPIA, technische documentatie en aantoonbaar menselijk toezicht.

Mag ik patiëntgegevens gebruiken om een AI-model te trainen?

Nee, tenzij je expliciete toestemming hebt van de patiënt, of de gegevens volledig geanonimiseerd zijn. Anonimisering is strenger dan pseudonimisering — de data mag op geen enkele manier herleidbaar zijn tot een individu.

Wat is een DPIA en wanneer is het verplicht in de zorg?

Een Data Protection Impact Assessment (DPIA) is een privacyrisicoanalyse die je uitvoert vóór je AI inzet die bijzondere persoonsgegevens verwerkt met een verhoogd risico. In de zorg is dit vrijwel altijd verplicht bij klinische AI-toepassingen.

Wat verandert er door de EU AI Act voor zorginstellingen?

Vanaf augustus 2026 moeten hoog-risico AI-systemen in de zorg voldoen aan strenge eisen: risicobeheerssysteem, technische documentatie, EU-registratie en menselijk toezicht. Bestaande systemen kunnen via de Digital Omnibus mogelijk uitstel krijgen tot eind 2027.

Heeft mijn zorgorganisatie een gespecialiseerde AI-partner nodig?

Voor administratieve taken kun je met standaard AI-tools beginnen, mits de verwerkersovereenkomst en AVG-verplichtingen op orde zijn. Voor klinische toepassingen is samenwerking met een gespecialiseerde partij die de compliance-eisen kent sterk aan te raden.